数字证书, 数字签名, SSL(TLS) , SASL

#密码学

1.加密方法可以分为两大类。一类是单钥加密（private key cryptography），还有一类叫做双钥加密（public key cryptography）。前者的加密和解密过程都用同一套密码，后者的加密和解密过程用的是两套密码。

历史上，人类传统的加密方法都是前一种，比如二战期间德军用的Enigma电报密码。莫尔斯电码也可以看作是一种私钥加密方法。

2.在单钥加密的情况下，密钥只有一把，所以密钥的保存变得很重要。一旦密钥泄漏，密码也就被破解。

3.在双钥加密的情况下，密钥有两把，一把是公开的公钥，还有一把是不公开的私钥。

双钥加密的原理如下：
a) 公钥和私钥是一一对应的关系，有一把公钥就必然有一把与之对应的、独一无二的私钥，反之亦成立。
b) 所有的（公钥, 私钥）对都是不同的。
c) 用公钥可以解开私钥加密的信息，反之亦成立。
d) 同时生成公钥和私钥应该相对比较容易，但是从公钥推算出私钥，应该是很困难或者是不可能的。

4.目前，通用的单钥加密算法为DES（Data Encryption Standard），通用的双钥加密算法为RSA（ Rivest-Shamir-Adleman），都产生于上个世纪70年代。

5.在双钥体系中，公钥用来加密信息，私钥用来数字签名。

6.因为任何人都可以生成自己的（公钥，私钥）对，所以为了防止有人散布伪造的公钥骗取信任，就需要一个可靠的第三方机构来生成经过认证的（公钥，私钥）对。目前，世界上最主要的数字服务认证商是位于美国加州的Verisign公司，它的主要业务就是分发RSA数字证书。

#数字证书

数字证书是一种权威性的电子文档。它提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构----CA证书授权(Certificate Authority)中心发行的，人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中，证书认证中心（CA）作为权威的、公正的、 可信赖的第三方，其作用是至关重要的。

CA认证中心是负责 签发， 管理， 认证 数字证书的机构，是基于国际互联网平台建立的一个公正，权威，可信赖的第三方组织机构。

全球有很多个CA认证中心, 根CA认证中心代表权威, 它可以分派数字证书(包括下级CA数字证书 , 用户数字证书).

##数字证书的组成

数字证书由CA派发, 包含F证书内容(明文写明证书的一些信息,包括派发单位,证书所有人等), A加密算法 , F’数字签名(派发该证书的CA的数字签名) , 所有者的公钥
这里要说一下数字签名的产生过程:
例如这里由派发证书的CA生成的数字签名, 首先, 对证书内容(F)进行hash算法生成摘要, 使用CA自己的私钥进行RSA加密(或者其他一种非对称加密算法A) , 就生成出了数字签名(F’).

数字证书的验证原理

数字证书通过F , A , F’ 三项来验证证书的真实性和有效性.
首先我们要知道下面几个特点:
1.数字证书机制默认, 所有者的私钥是安全的
2.根CA的公钥默认认为是合法的, 且是为大多数浏览器所知的, 甚至内嵌的. 例如firefox的证书管理器中就内嵌了已知的根CA的公钥.
验证数字证书(包含验证’证书’和’持有人’的真实有效性)的过程